Sicherheitsupdates für Ciscos Data Center und Web Conferencing
Cisco hat Updates für seine Produkte "Data Center" und "Web Conferencing" veröffentlicht, die Sicherheitslücken schließen. Sie erlauben Root-Zugang oder SQL-Injections.
Mit einem Upgrade auf Version 6.1.1 schließt Cisco eine Sicherheitslücke [1] in seinem Prime Data Center Network Manager. Sie resultiert daraus, dass der Dienst für die Remote Method Invocation (RMI) des freien Application-Servers JBoss für nicht-autorisierte Anwender zugänglich war. Dadurch konnten sie ohne Anmeldung über das Netz beliebige Kommandos an die RMI-Services senden. Diese Kommandos wurden mit Root- beziehungsweise System-Rechten unter Linux oder Windows ausgeführt.
In "Unified MeetingPlace Web Conferencing" hat Cisco gleichzeitig zwei Lücken [2] geschlossen. Die eine erlaubt via Netz SQL-Injections durch beliebige Benutzer. Ursache sei die ungenügende Prüfung von HTTP-POST-Parametern. Der Fehler gestatte es, Daten aus der internen Datenbank zu löschen oder zu verändern. Der zweite Bug ist ein Pufferüberlauf, ebenfalls verursacht durch eine fehlende Prüfung der POST-Parameter. Er könne den Conferencing-Server lahmlegen, schreibt Cisco.
Updates gibt es für die Versionen 7.0, 7.1, 8.0 und 8.5. Gleichzeitig weist Cisco darauf hin, dass Versionen vor 7 zwar betroffen sind, aber nicht mehr unterstützt werden. Anwender sollten auf einen der Nachfolger umsteigen. (ck [3])
URL dieses Artikels:
https://www.heise.de/-1741855
Links in diesem Artikel:
[1] http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121031-dcnm
[2] http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121031-mp
[3] mailto:ck@ix.de
Copyright © 2012 Heise Medien